日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
4大維度3大預(yù)測,基于容器生態(tài)擴(kuò)張的DevSecOps為啥引關(guān)注?

DevSecOps可能不是一個(gè)優(yōu)雅的術(shù)語,但其結(jié)果是有吸引力的: 在開發(fā)的早期帶來更強(qiáng)大的安全性。DevOps最終是要建立更好的軟件,也意味著更安全的軟件。

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴,公司提供的服務(wù)項(xiàng)目有:國際域名空間、虛擬主機(jī)、營銷軟件、網(wǎng)站建設(shè)、單縣網(wǎng)站維護(hù)、網(wǎng)站推廣。

像任何IT術(shù)語一樣,DevSecOps--由DevOps衍生而來,很容易被炒作和盜用。但是這個(gè)術(shù)語對(duì)擁抱DevOps文化的IT領(lǐng)導(dǎo)者以及實(shí)現(xiàn)其承諾的實(shí)踐和工具而言,具有真正的意義。

DevSecOps什么意思?

Datic公司首席技術(shù)官兼共同創(chuàng)始人RobertReeves說:“DevSecOps是開發(fā),安全和運(yùn)維的組合。它提醒我們,對(duì)于應(yīng)用程序來說,安全和創(chuàng)建、部署到生產(chǎn)上同樣重要?!?/p>

向非技術(shù)人員解釋DevSecOps的一個(gè)簡單方法:它有意識(shí)地更早地將安全性融入到開發(fā)過程中。

紅帽安全戰(zhàn)略家Kirsten Newcomer 最近告訴我們: “歷史上,安全團(tuán)隊(duì)從開發(fā)團(tuán)隊(duì)中分離出來,每個(gè)團(tuán)隊(duì)都在不同的IT領(lǐng)域擁有深厚的專業(yè)知識(shí) 。“其實(shí)不需要這樣。關(guān)心安全的企業(yè)也非常關(guān)心通過軟件快速交付業(yè)務(wù)價(jià)值的能力,這些企業(yè)正在尋找方法,將安全性留在應(yīng)用開發(fā)生命周期內(nèi)。通過在整個(gè)CI / CD中集成安全實(shí)踐,工具和自動(dòng)化來采用DevSecOps?!?/p>

她說:“為了做到這一點(diǎn),他們正在整合團(tuán)隊(duì)。安全專業(yè)人員將從應(yīng)用開發(fā)團(tuán)隊(duì)一直嵌入到生產(chǎn)部署中。” “雙方都看到了價(jià)值,每個(gè)團(tuán)隊(duì)都拓展了他們的技能和知識(shí)基礎(chǔ),成為更有價(jià)值的技術(shù)專家。正確的DevOps或DevSecOps ,提高IT安全性?!?/p>

IT團(tuán)隊(duì)的任務(wù)是更快,更頻繁地交付服務(wù)。DevOps成為一個(gè)很好的推動(dòng)因素,部分原因是它可以消除開發(fā)和運(yùn)營團(tuán)隊(duì)之間的一些傳統(tǒng)沖突,Ops通常在部署之前被排除在外,而Dev將其代碼丟在無形的墻上,從來不進(jìn)行二次管理,更沒有任何的基礎(chǔ)設(shè)施維護(hù)責(zé)任。說得委婉一些,在數(shù)字化時(shí)代,這種孤立的做法會(huì)產(chǎn)生問題。按照Reeves的說法,如果安全是孤立的,也會(huì)存在類似的問題。

Reeves說:“我們采用DevOps,它被證明可以通過掃除開發(fā)與運(yùn)維之間的障礙來提高IT的性能?!熬拖癫粦?yīng)該等到部署周期結(jié)束才開始運(yùn)維一樣,也不應(yīng)該等到最后才考慮安全問題?!?/p>

DevSecOps為什么會(huì)出現(xiàn)?

將DevSecOps看作是另一個(gè)流行語是一種誘惑,但對(duì)于安全意識(shí)強(qiáng)的IT領(lǐng)導(dǎo)者來說,這是一個(gè)實(shí)質(zhì)性的概念。安全必須是軟件開發(fā)流程中的“一等公民”,而并非最終步驟部署,或者更糟糕,只有在發(fā)生實(shí)際的安全事件后才受到重視。

SumoLogic公司安全與合規(guī)副總裁George Gerchow表示:“DevSecOps不僅僅是一個(gè)流行詞,由于諸多原因它是IT的當(dāng)前和未來狀態(tài)。“最重要的好處是能夠?qū)踩匀谌氲介_發(fā)和運(yùn)營流程中,為實(shí)現(xiàn)敏捷性和創(chuàng)新提供保障?!?/p>

此外,在場景中出現(xiàn)的DevSecOps可能是DevOps自身正在成熟并深入挖掘IT內(nèi)部的另一個(gè)標(biāo)志。

“企業(yè)DevOps文化意味著開發(fā)人員能夠以更快的速度向生產(chǎn)環(huán)境提供功能和更新,特別是當(dāng)自組織團(tuán)隊(duì)更加樂于協(xié)作和衡量結(jié)果?!盋YBRIC首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說。

在采用DevOps的同時(shí),保持原有的安全實(shí)踐的團(tuán)隊(duì)和公司會(huì)遇到更多的管理安全風(fēng)險(xiǎn)的痛苦,因?yàn)镈evOps團(tuán)隊(duì)會(huì)部署地更快、更頻繁。

手動(dòng)測試安全方法逐漸落后

“目前,手動(dòng)測試安全方法逐漸落后,利用自動(dòng)化和協(xié)作將安全測試轉(zhuǎn)移到軟件開發(fā)生命周期,從而推動(dòng)DevSecOps文化,這是IT領(lǐng)導(dǎo)者提高整體彈性和交付安全保證的唯一路徑?!眲P爾說。

(早期)對(duì)安全性測試的改變也讓開發(fā)人員受益:在開發(fā)新服務(wù)或部署更新服務(wù)之前,他們并沒有發(fā)現(xiàn)代碼中的明顯漏洞,而是經(jīng)常在開發(fā)的早期階段發(fā)現(xiàn)并解決潛在的問題,幾乎沒有安全人員的介入。

SAS首席信息安全官Brian Wilson表示:“正確的做法是,DevSecOps可以將安全性納入開發(fā)生命周期,使開發(fā)人員能夠更快,更方便地保護(hù)應(yīng)用程序,不會(huì)造成安全干擾。

Wilson將靜態(tài)(SAST)和源代碼分析(SCA)工具集成到團(tuán)隊(duì)的持續(xù)交付中,幫助開發(fā)人員在代碼中對(duì)潛在問題,以及第三方依賴的漏洞進(jìn)行反饋。

Wilson說:“開發(fā)人員可以主動(dòng)、反復(fù)地緩解app的安全問題,并重新進(jìn)行安全掃描,無需安全人員參與。DevSecOps還可以幫助開發(fā)團(tuán)隊(duì)簡化更新和修補(bǔ)程序。

DevSecOps并不意味著企業(yè)不再需要安全專家,就像DevOps并不意味著企業(yè)不再需要基礎(chǔ)架構(gòu)專家一樣。它只是有助于減少瑕疵進(jìn)入生產(chǎn)的可能性,或減緩部署。

DevSecOps遭遇的危機(jī)

來自Sumo Logic公司的Gerchow分享了DevSecOps文化的實(shí)例:當(dāng)最近的Meltdown和Spectre消息出現(xiàn)時(shí),團(tuán)隊(duì)的DevSecOps方法能夠迅速做出響應(yīng),以減輕風(fēng)險(xiǎn),而對(duì)內(nèi)外部客戶沒有任何明顯的干擾。 對(duì)云原生和受高度監(jiān)管的公司來說非常重要。

第一步,Gerchow的小型安全團(tuán)隊(duì)(具備開發(fā)技能)能夠通過Slack與其主要云供應(yīng)商之一合作,確保基礎(chǔ)設(shè)施在24小時(shí)內(nèi)完全修補(bǔ)好。

“然后,我的團(tuán)隊(duì)立即開始了OS級(jí)別的修復(fù),不需要給終端用戶停機(jī)時(shí)間,也無需請(qǐng)求工程師,那樣意味著要等待長時(shí)間的變更管理流程。所有這些變化都是通過Slack打開自動(dòng)化Jira tickets進(jìn)行的,并通過日志和分析解決方案進(jìn)行監(jiān)控,“Gerchow解釋說。

這聽起來像DevOps文化,正確的人員、流程和工具組合相匹配,但它明確地將安全作為該文化和組合的一部分。

Gerchow說:“在傳統(tǒng)環(huán)境下,停機(jī)需要花費(fèi)數(shù)周或數(shù)月的時(shí)間,因?yàn)殚_發(fā)、運(yùn)營和安全這三項(xiàng)功能都是孤立的。憑借DevSecOps流程和理念,終端用戶可以通過簡單的溝通和當(dāng)天的修復(fù)獲得無縫的體驗(yàn)?!?/p>

2018DevSecOps三大預(yù)測

2018年企業(yè)的DevSecOps將迎來一些真正的變革。

對(duì)于DevSecOps來說,2017年是美好的一年,DevSecOps從一個(gè)半朦朧的概念演變成可行的企業(yè)功能。

容器和容器市場的迅速擴(kuò)張?jiān)诤艽蟪潭壬贤苿?dòng)了這一演變,容器市場本質(zhì)上與DevOps和DevSecOps相互交織在一起。一般來說,快速增長和創(chuàng)新往往比科學(xué)更能預(yù)測趨勢,但我仍然愿意嘗試一下。

從Docker Hub和成熟的容器生態(tài)系統(tǒng)中獲取了超過120億張圖片,就企業(yè)的DevSecOps而言,我們幾乎看不到冰山的一角。不過,相信在2018年,我們將看到:基礎(chǔ)變革的開始。我認(rèn)為它會(huì)是這樣的:

1.企業(yè)領(lǐng)導(dǎo)者和IT利益相關(guān)者意識(shí)到DevSecOps正在改進(jìn)DevOps

DevOps將開發(fā)團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)聚在一起,它推動(dòng)協(xié)作文化不足為奇。加入安全舉措可能聽起來很簡單,但多年來,安全問題一直是事后的事情,導(dǎo)致企業(yè)文化容易使安全團(tuán)隊(duì)與其他IT團(tuán)隊(duì)形成對(duì)立,包括開發(fā)團(tuán)隊(duì)。

但是事情發(fā)生了變化。

在雅虎虧損3.5億美元的商業(yè)環(huán)境下,暴露了其脆弱的安全狀況,企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全看作是一個(gè)運(yùn)維sinkhole的時(shí)代已經(jīng)結(jié)束。加強(qiáng)網(wǎng)絡(luò)安全現(xiàn)在是企業(yè)的當(dāng)務(wù)之急。但這種轉(zhuǎn)變需要時(shí)間才能重新回到IT文化中。

DevOps和DevSecOps的崛起無疑為重塑應(yīng)用程序安全性創(chuàng)造了一個(gè)難得且令人興奮的機(jī)會(huì),但是DevOps可能會(huì)導(dǎo)致轉(zhuǎn)變速度發(fā)生變化。DevOps團(tuán)隊(duì)和應(yīng)用程序架構(gòu)師每天都能夠認(rèn)識(shí)到安全的重要性,并歡迎安全團(tuán)隊(duì)的加入,但他們之間仍然存在需要磨合的鴻溝。

為正確實(shí)施DevSecOps,安全團(tuán)隊(duì)需要與DevOps團(tuán)隊(duì)保持一致,企業(yè)領(lǐng)導(dǎo)者需要為此打造空間和預(yù)算。到2019年,希望企業(yè)領(lǐng)導(dǎo)人能夠意識(shí)到推動(dòng)一個(gè)重要的、合法的安全勝利的機(jī)會(huì)。

2.成功的組織模式將會(huì)出現(xiàn),最可能的是,安全與DevOps團(tuán)隊(duì)之間的緊密協(xié)作。

雖然該預(yù)測并不特別具有啟發(fā)性,但是相關(guān)的。了解DevSecOps需要來自安全和DevOps團(tuán)隊(duì)的平等協(xié)作,快速跟蹤標(biāo)準(zhǔn)藍(lán)圖或?qū)嵤┠P?,將DevSecOps集成(并最終自動(dòng)化)到CI / CD進(jìn)程中。

雖然不同企業(yè)有不同的需求,但大多數(shù)公司都使用相同的技術(shù)工具,特別是在使用容器的情況下。這就為統(tǒng)一的標(biāo)準(zhǔn)化提供了條件。此外,容器的開源特性可以促進(jìn)相關(guān)信息的共享和標(biāo)準(zhǔn)開發(fā)。

到目前為止,由于DevOps團(tuán)隊(duì)擁有開發(fā)流程,他們一直在安全方面處于領(lǐng)先地位。然而,我認(rèn)為,DevSecOps需要由安全團(tuán)隊(duì)領(lǐng)導(dǎo), 他們是負(fù)責(zé)企業(yè)安全和風(fēng)險(xiǎn)的人,當(dāng)安全事故發(fā)生時(shí),他們會(huì)被解雇或被迫離開。

2018年,安全團(tuán)隊(duì)需要加強(qiáng)并展示團(tuán)隊(duì)的價(jià)值和技能。將安全性融入到IT結(jié)構(gòu)中,而不是在網(wǎng)絡(luò)安全問題成為事實(shí)之后才想起?,F(xiàn)在我們有機(jī)會(huì)來實(shí)現(xiàn)這一目標(biāo)。

3.安全團(tuán)隊(duì)仍然要緩慢適應(yīng)DevOps的現(xiàn)實(shí)

過去,企業(yè)安全團(tuán)隊(duì)通常在不重視或不了解安全需要的文化中運(yùn)營。難怪今天的電商環(huán)境是大多數(shù)企業(yè)相對(duì)容易被破壞的環(huán)境。

強(qiáng)大的安全性不僅僅是外圍的防火墻。盡管許多安全專家可能最終會(huì)看到這種轉(zhuǎn)變,但可能不像DevOps團(tuán)隊(duì)所期望的那樣靈活。當(dāng)談到容器(通常是appsec)時(shí),即使是最有才華和最優(yōu)秀的安全專家也會(huì)面臨學(xué)習(xí)的瓶頸。更不用說已經(jīng)被充分證明的網(wǎng)絡(luò)安全技能短缺的現(xiàn)狀。

雖然這些因素可能在短期內(nèi)降低安全對(duì)DevOps和 DevSecOps的支持,但是我認(rèn)為DevSecOps是解決技能短缺問題的一部分。將安全集成到應(yīng)用程序交付過程中,并將其自動(dòng)化比用回溯方法更有效率和更具成本效益,可以解決在部署應(yīng)用程序之前解決安全漏洞。安全專業(yè)人士可以通過開放的態(tài)度,以新的方式發(fā)揮他們的才能,從而獲得很多收益。

2018年希望這個(gè)故事有一個(gè)快樂的結(jié)局。


分享文章:4大維度3大預(yù)測,基于容器生態(tài)擴(kuò)張的DevSecOps為啥引關(guān)注?
網(wǎng)頁鏈接:http://m.5511xx.com/article/djosccj.html